Cae la nube de internet, caemos todos

Un simple fallo y medio mundo deja de funcionar. La vida moderna pende de un hilo que cuelga de los servidores de tres empresas tecnológicas. Amazon, Microsoft y Google controlan la nube, una de las infraestructuras más críticas del planeta. Cuando una de ellas sufre un incidente, los efectos son inmediatos: bancos, sistemas de pago, aerolíneas, plataformas de comercio electrónico y de criptomonedas, teletrabajo, redes sociales, y hasta parkings afectados. Las consecuencias saltan rápidamente del mundo digital al mundo físico.

Amazon Web Services (AWS) controla un 30% del mercado mundial de la nube. Junto con Microsoft Azure y Google Cloud, conforman un oligopolio que concentra la mayoría del almacenamiento, procesamiento y servicios digitales del planeta (más de un 60%, según Statista a partir de datos Synergy Research Group). Gobiernos, hospitales, bancos y ciudadanos viven, literalmente, bajo su infraestructura. Esta concentración crea una vulnerabilidad sistémica. Cada vez que una de estas plataformas sufre un fallo técnico o humano —o un ciberataque—, el mundo entero sufre las consecuencias.

Estamos vendidos a las big tech. El incidente de esta semana ha demostrado, una vez más, lo dependientes que somos de estas empresas y de la conectividad. La vulnerabilidad aumenta cuantas más cosas conectamos, y cada capa tecnológica que añadimos: inteligencia artificial, internet de las cosas, vehículos autónomos, cadenas de suministro inteligentes... Más complejidad y más puntos de fallo.

Un frigorífico inteligente o una cámara de seguridad conectada pueden parecer inofensivos, pero forman parte del mismo ecosistema que sostiene la banca, la sanidad o el transporte. En este entorno, un error menor puede propagarse con una rapidez y un alcance inéditos. El caso de AWS lo prueba: un problema técnico en una región concreta que provocó la paralización temporal de servicios utilizados por millones de personas. ¿Cómo es posible? ¿Quién controla a estas empresas que sostienen la infraestructura digital del planeta?

Cuando se produce un incidente en una central nuclear, se activan de inmediato protocolos regulatorios y de emergencia. Si hay negligencia, habrá sanciones y responsabilidades penales o civiles. Si le pasa a un banco, las multas pueden ser millonarias. Pero cuando se cae un servicio online masivo, con un impacto igual o mayor, las consecuencias legales son mucho menores. Las big tech gestionan la infraestructura más crítica de nuestro tiempo —de la que dependen a su vez otras infraestructuras críticas— sin someterse al mismo nivel de control que una eléctrica o un banco.

Las comunicaciones, el sistema financiero y sanitario, la energía y el transporte necesitan acceso continuo a servidores remotos. La nube se convierte en un servicio esencial y, como tal, debería estar sujeto a los mismos requisitos y obligaciones de auditorías, transparencia y compensación que otros equivalentes. Incluso proveedores de telecomunicaciones más pequeños se someten a normas regulatorias mucho más estrictas, apunta la consultora Strand Consult. “Es difícil comprender por qué AWS, una empresa con una capitalización bursátil de billones de dólares, sale impune”, añade.

Cuando sucede un fallo como el de esta semana, se diluyen las responsabilidades entre proveedores, clientes y regulador. AWS debe explicar la causa raíz, publicar un informe post mortem y detallar qué medidas tomará para evitar que se repita. Los clientes que contratan su infraestructura deberían haber previsto mecanismos de redundancia que proporcionen alternativas en caso de incidente. Una forma de hacerlo es replicar servicios en varias regiones (por si, como en el caso de AWS, una de ellas falla), o contar con varios proveedores de nube diferentes. Muchos no lo hacen: confían ciegamente en que “la nube no falla”.

La rendición de cuentas no puede quedarse ahí. Hay medidas que se pueden tomar frente a la asimetría existente. Por ejemplo, a través de la directiva europea NIS2, sobre seguridad de las redes y sistemas de información. Obliga a los proveedores de servicios en la nube a identificar los servicios críticos, garantizar su continuidad y aplicar medidas para mitigar riesgos y amenazas. También exige notificar los incidentes relevantes a las autoridades entre 24 y 72 horas desde su detección.

Las sanciones, no obstante, siguen siendo leves si se comparan con las que afrontan sectores como la energía, la banca o la sanidad. La directiva no considera la computación en la nube una “entidad esencial”, sino una “entidad importante”. En la práctica, eso significa que la multa máxima por incumplimiento sería de siete millones de euros o un 1,4% del volumen de negocio global (frente a los 10 millones o el 2% que se imponen a los servicios esenciales).

Esta directiva sigue en proceso de trasposición en España, con un año de retraso. Uno de los escollos es dónde deben rendir cuentas las empresas. La NIS2 permite que solo respondan ante un único Estado miembro, donde esté ubicada su sede principal. Así, grandes proveedores como AWS pueden eludir la supervisión directa de países como España, aunque tengan filiales locales. La clave radica en obligar a que dicha rendición de cuentas se realice donde se presta el servicio, algo que se puede hacer a través de una interpretación amplia de la norma, como la que realiza Italia.

Existen también normas, como la Ley de Resiliencia Operativa Digital (DORA), que pueden servir para aplicar sanciones, correctivos o paralización temporal del servicio a entidades como AWS si se consideran como un proveedor TIC crítico y no cumplen con la norma. Otras, como el Reglamento General de Protección de Datos, podrían aplicarse en este contexto si la interrupción del servicio afectase a la disponibilidad o integridad de los datos personales. Eso sí, en ningún caso se prevén compensaciones automáticas al Estado o a los clientes.

Si AWS cae, el daño es global, pero la responsabilidad jurídica es difusa. Esta situación no es casual. Strand Consult señala la intensa labor de lobby de los gigantes tecnológicos, que “presionan constantemente” contra “medidas de interés público y resiliencia”, según análisis de organizaciones como Corporate Europe Observatory. Argumenta también que, por sus características, AWS podría considerarse un proveedor de telecomunicaciones. Y aboga por medidas como estándares más exigentes de continuidad del servicio, publicación de mapas detallados de dependencias que incluyan el verdadero alcance del riesgo sistémico, e intervención de los supervisores regulatorios ante fallos o falta de transparencia.

Incidentes como el de esta semana volverán a suceder. Nos lo recuerdan desastres recientes como el fallo de actualización de CrowdStrike de 2024, que bloqueó millones de equipos Windows; la caída de Fastly en 2021, que tumbó a medio internet durante horas; los errores que dejaron a WhatsApp, Instagram y Facebook fuera de juego durante horas ese mismo año (y posteriores), o el apagón de Google en 2020, que impidió acceder a los servicios de la empresa, salvo al buscador.

Hemos construido nuestra vida moderna sobre la falacia de la infalibilidad tecnológica, confundiendo eficiencia y escalabilidad con resiliencia. Pero un sistema hiperconectado y optimizado al milímetro puede ser extremadamente frágil ante una disrupción. Cuanto más conectamos, mayor es la onda expansiva cuando algo falla. Sin sanciones directas ni mecanismos sólidos de control público sobre estas infraestructuras críticas (no solo normas, sino garantías efectivas de cumplimiento) seguiremos vendidos a las grandes tecnológicas. Y cada vez que una de ellas caiga, volveremos a caer todos.